BazaPrawa.
Cookie banners 2025 – priorytety egzekucyjne UOKiK a projektowanie zgód na pliki cookie
zespół BazaPrawa | 23 maja 2025
Dlaczego rok 2025 to game‑changer dla banerów cookie?
W styczniu 2025 r. Urząd Ochrony Konkurencji i Konsumentów (UOKiK) opublikował "Plan działań nadzorczych w obszarze dark patterns" i zapowiedział, że banery cookie będą priorytetowym polem kontroli. Nakłada to na firmy wymóg:
- zachowania pełnej symetrii pomiędzy opcją "Akceptuję wszystkie" i "Odrzuć wszystkie",
- unikania technik wymuszających zgodę (nudging, ukryte przyciski, kolorowe CTA),
- odświeżania zgody nie rzadziej niż co 12 miesięcy.
1. Najczęstsze naruszenia wskazane w raporcie UOKiK 2024
| Dark pattern | Przykład | Ryzyko kary |
|---|---|---|
| Implied consent | dalsze scrollowanie = akceptacja | do 3 % obrotu |
| Visual hierarchy | zielony "Akceptuj", szary link "Ustawienia" | do 10 000 zł za dzień zwłoki |
| Double opt‑out | aby odrzucić, trzeba przejść dwa ekrany | nakaz zmiany interfejsu + kara finansowa |
| Deceptive toggles | suwak "Personalizacja" domyślnie włączony | indywidualne kary dla zarządu |
2. Nowe wymagania projektowe na 2025 r.
| Obowiązek | Minimalny standard |
|---|---|
| Równoważny przycisk | "Odrzuć wszystkie" widoczny na pierwszym poziomie banera, identyczny rozmiar i kolor jak "Akceptuj wszystkie". |
| Warstwowość | dodatkowe kategorie cookies (analiza, personalizacja, reklama) muszą być wyłączone domyślnie. |
| Czas przechowywania zgody | max 12 miesięcy – konieczny automat do ponownego pytania. |
| Logowanie zgód | identyfikator urządzenia, hash IP, znaczniki czasu; dane przechowywane 3 lata na wypadek audytu. |
3. Ścieżka zgodna z RODO – proces krok po kroku
- Pierwsza wizyta – wyświetl baner z równoważnym Accept/Reject.
- Drugie kliknięcie – dopiero po "Ustawieniach" można aktywować poszczególne kategorie.
- Brak interakcji – traktuj jako brak zgody; ładuj wyłącznie cookies techniczne.
- Withdrawal – stała ikona koła zębatego u dołu strony umożliwia zmianę decyzji.
- Automatyczny refresh – po 12 miesiącach baner pojawia się ponownie.
4. Kary UOKiK – case studies 2024–2025
| Firma | Data decyzji | Kara | Nieprawidłowość |
|---|---|---|---|
| MediaMall.pl | 21.11.2024 | 1,8 mln zł | brak przycisku "Odrzuć", domyślnie włączone personalizacja |
| NewsFlash24 | 03.02.2025 | 950 000 zł | ukryty przycisk "Kontynuuj bez zgody" poza widocznym ekranem |
| e‑Travel Tech | 19.04.2025 | 2,2 mln zł | brak logów zgód, retargeting bez podstawy |
5. Audyt banera – szybki checklist 2025
- Symetryczne przyciski "Akceptuj"/"Odrzuć".
- Wszystkie kategorie opcjonalne domyślnie wyłączone.
- Jasny link do polityki prywatności.
- Ikona do zmiany preferencji dostępna na każdej podstronie.
- Logi zgód w bezpiecznej bazie przez trzy lata.
- Automatyczne wygaszenie po 12 miesiącach.
FAQ
| Pytanie | Krótka odpowiedź |
|---|---|
| Czy przycisk "X" może zamykać baner bez zgody? | Tak, ale musi działać jak "Odrzuć wszystkie". |
| Czy trzeba rejestrować pieczę cookies do UODO? | Nie, ale logi muszą być dostępne na żądanie organu. |
| Czy baner może zajmować cały ekran? | Tak, o ile nie utrudnia rezygnacji i znika po wyborze. |
| Czy "legitimate interest" wystarczy dla analityki? | UOKiK wskazuje, że wymagana jest zgoda, jeśli analityka łączy się z reklamą. |
| Co z aplikacją mobilną? | Te same zasady – baner lub ekran zgody na pierwszym uruchomieniu. |
Podsumowanie
W 2025 r. projektowanie banerów cookie to już nie tylko kwestia UX, lecz ryzyko wysokich kar finansowych. Przygotuj się, wprowadzając symetryczny przycisk odrzucania, wyłączone domyślnie kategorie nie‑techniczne i automatyczne odświeżanie zgód. W dobie dark patterns transparentność staje się nowym standardem.
Źródła
- UOKiK – "Plan działań nadzorczych w obszarze dark patterns 2025"
- UOKiK – decyzja DOZIK 7 slash 2024 (MediaMall)
- UOKiK – decyzja DOZIK 2 slash 2025 (NewsFlash24)
- EDPB – "Report on Cookie Banner Task Force" luty 2024
- CNIL – "Cookies and other trackers: 2024 overview"
- Polskie Towarzystwo Informatyczne – "UX bez dark patterns: wytyczne 2025"